A problemática da conectividade
O maior repto que a IoT apresenta em termos de segurança é, sem dúvida, a conectividade. Isso parece ser evidente nos vários relatórios e white papers a que tivemos acesso. Alfonso Ramirez, director-geral da Kaspersky Lab Iberia, concorda que este é o tendão de Aquiles da Internet das Coisas, até porque, hoje em dia, «estamos rodeados de relógios, brinquedos, eletrodomésticos inteligentes e até mesmo automóveis que fazem agora parte deste mundo da chamada Internet das Coisas». Na teoria, diz Alfonso Ramirez, a IoT devia tornar as nossas vidas muito mais simples e práticas, facto que justifica a sua crescente popularidade. «No entanto, estes dispositivos IoT têm uma característica em comum, a fraca segurança e a facilidade de serem hackeados».
Basta para isso atendermos ao facto do número de programas maliciosos que têm como alvo os dispositivos IoT mais que terem duplicado em 2017. «No mundo todo, os dispositivos inteligentes chegam a seis mil milhões e muitos desses são vulneráveis».
Mas há outro problema: o facto de a segurança não estar, para este executivo, entre as prioridades dos fabricantes, o que torna quase todos os aparelhos “inteligentes” em vulneráveis e, portanto, potencialmente perigosos. «É importantíssimo que os fabricantes garantam a adequada protecção dos utilizadores e prestem muita atenção aos requisitos de segurança quando desenvolvem e lançam os seus produtos. Porque até os mais pequenos detalhes podem provocar consequências graves».
Para mitigar os riscos de cibersegurança, a Kaspersky Lab aconselha os fabricantes e programadores a realizarem sempre provas de segurança antes de laçarem os seus produtos, e a cumprirem os padrões de cibersegurança IoT. Recentemente, a empresa russa contribuiu e colaborou na elaboração da diretiva ITU-T Y.4806 (União Internacional de Telecomunicações – sector das telecomunicações), criada para ajudar a manter uma protecção adequada dos sistemas IoT, incluindo cidades inteligentes, dispositivos médicos, entre outros.
Não sabemos o quão inseguros estamos
Recentemente, a Kaspersky realizou um teste de vulnerabilidade a oito dispositivos inteligentes: um carregador, um carro telecomandado equipado com uma webcam, um receptor-transmissor para sistemas de casas conectadas, uma balança, um aspirador, um ferro de engomar, uma câmara e um relógio. «Os resultados foram surpreendentes e nada animadores: dos oito dispositivos, apenas um provou ser seguro o suficiente, enquanto os outros não apresentavam uma protecção fiável. Muitos deles utilizavam palavras-passe padrão muito fracas, que em alguns casos nem podiam ser alteradas, e outros deixavam informações confidenciais expostas a ataques», disse Alfonso Ramirez.
Quanto ao carro telecomandado, controlado através do telemóvel e com uma câmara integrada, para o conectar ao telefone, Alfonso Ramirez diz nem sequer ter sido necessária palavra-passe, ou seja, o brinquedo pode ser controlado por qualquer pessoa. «Na realidade, estamos a falar quase de um espião sobre rodas que pode gravar som e vídeo, o que permite que os hackers acumulem material para chantagens e acções maliciosas contra o seu proprietário».
Desafio à segurança corporativa
Claro que se reportarmos isto ao mundo empresarial, a Internet das Coisas traz imensos desafios à segurança corporativa. Da mesma forma que a cloud é já, hoje, uma realidade generalizada nas empresas, a Internet das Coisas começa agora a sê-lo. Se, por um lado, as empresas usam aplicações e sistemas relacionados com a IoT, por outro os seus colaboradores usam dispositivos onde coexistem dados empresariais e dados pessoais, relembrou Rui Duro, sales manager da Check Point para Portugal. «Esta coexistência traz ainda maiores desafios. Como conseguir, por um lado, um acesso fácil e simples aos dois mundos e, por outro, garantir que a informação confidencial e restrita não é exposta. Outro grande desafio está relacionado com o facto de este novo paradigma de acesso e mobilidade ter aberto, a quem se dedica a atacar as empresas, um novo mundo de oportunidades para desenvolver as suas actividades maliciosas».
Para o responsável, as empresas necessitam de desenvolver estratégias que garantam o acesso à informação, mas também a defesa dessa mesma informação e sistemas. «E necessitam investir em tecnologia que suportem estas mesmas estratégias».
Rui Duro corrobora a opinião de Alfonso Ramirez, avançando que os fabricantes se preocupam mais com o lançamento de novos produtos o mais rápido possível do que em garantir que estes são suficientemente seguros. «As consequências disso são conhecidas e são múltiplos os exemplos do que os cibercriminosos podem fazer para colocar suas botnets instaladas em dispositivos conectados».
Além disso, perante uma violação de segurança, muitos utilizadores não sabem como actualizar o firmware do dispositivo para que este esteja totalmente protegido. «A solução para este problema seria as entidades competentes da União Europeia obrigarem a que os objectos da IoT lançados no mercado estejam devidamente equipados com soluções avançadas de segurança».